Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Отсутствие защиты конфиденциальной данных клиентов обошлось в $ 175 000

Отсутствие защиты конфиденциальной данных клиентов обошлось в $ 175 000


06.05.2009

Отсутствие защиты конфиденциальной данных клиентов обошлось в $ 175 000

Агентство по регулированию действий финансовых институтов (АРДФИ) объявило о том, что на Финансовую Корпорацию Centaurus (ЦФК), округ Оранж, Калифорния, был наложен штраф в размере $175,000 за отсутствие обеспечения надлежащей безопасности конфиденциальной информации клиентов. Корпорацию так же обязали уведомить клиентов и их брокеров, которые пострадали от этого и предложить им бесплатный кредитный мониторинг на год.

АРДФИ было обнаружено, что в период с апреля 2006 по июль 2007 ЦФК не была в состоянии обеспечить надлежащую защиту конфиденциальных данных клиентов. На сервере компании было установлено не надлежащим образом настроенное программное обеспечение сетевой защиты (файрволл), а так же логин и пароль для факсимильного сервера позволяли несанкционированно проникнуть в систему к сохраненным изображениям факсимильных сообщений, где содержалась конфиденциальная информация клиентов, такая как номера социального страхования, номера счетов, даты рождения и другая секретная информация клиента. "Защита" компании так же не обеспечивала защиту от фишинга. Когда ЦФК обнаружила фишинговые атаки, было проведено неадекватное ситуации расследование и были разосланы уведомления, с некорректной информацией 1400 клиентам, пострадавшим от мошенничества.

"Тот факт, что компания была оштрафована именно за инцидент, который она допустила, вызывает некоторую зависть - только такой порядок вещей может привести к усилению безопасности, - считает главный аналитик компании InfoWatch, эксперта в области систем обеспечения информационной безопасности и защиты данных от утечки, Николай Федотов. - Когда же компания наказывается за несоблюдение установленного порядка защиты (независимо от того, были инциденты или нет) - это не совсем верно. И совсем уж неверно, когда инцидент происходит, но оператор не несёт за это ответственности, поскольку у него в наличии все положенные бумаги о соблюдении установленного порядка. К сожалению, обе эти ситуации слишком часто у нас встречаются".

15 июля 2007 года сервер ЦФК был подвержен фишинговой атаке с третьей стороны. Фишинговое мошенничество используется для извлечения персональной информации пользователей, такой как логины, пароли, информации по банковским и кредитным счетам. Файл, имитирующий популярный интернет аукцион был передан на сервер ЦФК, и в течение трех дней было зарегистрировано 895 несанкционированных входа в систему с 459 IP адресов, большинство из них были произведены получателями массовых рассылок, которая была сделана мошенниками.

После того как инцидент был раскрыт, ЦФК отправила уведомление с некорректной информацией примерно 1400 клиентам и их брокерам, сообщив, что несанкционированный доступ был разовый и информация на сервере не была доступна. В письме не сообщалось о том, что было массовое вторжение и что это произошло из-за не отвечающего требованиям безопасности файрволу и доступным логину "Administrator" и паролю "password" к серверу. Неадекватным ситуации поведением ЦФК были нарушены федеральные правила установленные S-P и АРДФИ.

"Также вызывает уважение позиция регулирующих органов США, что важно не только соблюдать правила ИБ, не допускать инцидентов, но и верно реагировать, когда инцидент произошёл. Абсолютно надёжной защиты не бывает, - комментирует главный аналитик компании InfoWatch. - Поэтому всегда обязательно иметь "второй эшелон" и позаботиться о снижении вредных последствий инцидента. В некоторых ситуациях это даже важнее, чем "первичная" защита. Такого раздела (о заглаживании последствий утечек) явно не хватает в российском законе "О персональных данных".

Согласно условиям решения, "Centaurus" обязуется обеспечить клиентов и их брокеров надлежащей информацией, которым ранее была отправлена неверная информация, и предложить им бесплатный кредитный мониторинг. Помимо этого, в ЦФК будет проведена сертификация в соответствии с требованиями АРДФИ.

Источник: xakep.ru
www.xakep.ru/


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.